image

Onderzoeker demonstreert usb-aanval met Teensy-board

vrijdag 5 augustus 2016, 11:40 door Redactie, 3 reacties

Tijdens de Black Hat-conferentie in Las Vegas heeft een beveiligingsonderzoeker het risico gedemonstreerd van het aansluiten van onbekende usb-sticks waarmee de computer kan worden gehackt. In april van dit jaar verscheen er onderzoek naar het aansluiten van onbekende usb-sticks.

Voor het onderzoek gebruikten onderzoekers van Google, de Universiteit van Illinois en de Universiteit van Michigan 297 usb-sticks die op verschillende plekken en tijdstippen op een universiteitscampus werden achtergelaten. De aanval zou een succespercentage van 45% tot 98% hebben, waarbij de eerste usb-stick in minder dan zes minuten nadat die was achtergelaten werd aangesloten. Om te kijken of gebruikers de usb-stick aansloten waren er verschillende html-bestanden met een embedded img-tag op de datadrager geplaatst. Daardoor konden de onderzoekers precies zien welk bestand op welke usb-stick er was geopend, zonder dat er automatisch code op de computer van de vinder werd uitgevoerd.

Teensy

Google-onderzoeker Elie Bursztein presenteerde de onderzoeksresultaten tijdens de Black Hat-conferentie (pdf), maar liet ook zien hoe een Teensy-board, een soort van micro-computer, als usb-stick kan worden vermomd en bij het aansluiten automatisch kwaadaardige commando's kan uitvoeren. Hiervoor wordt ervan HID (Human Interface Device) spoofing gebruik gemaakt. De computer denkt in dit geval dat de aangesloten usb-stick een toetsenbord is. Dit nep-toetsenbord voert allerlei commando's uit waarmee de computer van het slachtoffer wordt gehackt.

Het aanpassen van de Teensy zodat het apparaatje er als een usb-stick uitzag vereiste de nodige inzet, maar was uiteindelijk succesvol. De gehele operatie kostte bij elkaar zo'n 40 dollar. Volgens Bursztein laten de onderzoeksresultaten zien dat het achterlaten van usb-sticks een succesvolle aanvalsmethode is. Om hier tegen te beschermen adviseert hij het personeel te trainen, usb-poorten op belangrijke systemen fysiek te blokkeren en via Windows Policies het aantal toegestane usb-apparaten te beperken. De code voor het programmeren van de Teensy heeft Bursztein op GitHub geplaatst.

Image

Reacties (3)
05-08-2016, 12:22 door yobi
Waarom geen Rubber Ducky??? Methode bestaat al jaren.

Mensen, die hun sticks laten slingeren vol met 'verwijderde' gegevens is denk ik een groter probleem. Een image maken van zo'n stick -> naar de ander kan van de aarde sturen -> verwijderde gegeven weer beschikbaar maken.....
05-08-2016, 16:34 door Anoniem
Apple security settings ff aanscherpen!

Yep, er zijn al eerder dit soort varianten uitgeprobeerd, waaronder door Sammy K.
Op mijn Mac zou het denk ik niet werken.
Op die van jou hoeft dat ook niet, dat kan je zelf eenvoudig verhelpen lijkt het.

Ga naar je Keyboard settings en doorloop alle voorkeuren voor de soorten shortcuts die je daar kan vinden.

Deactiveer daar alle voorkeuren voor shortcuts waarmee je programma's kan openen, je doc kan beheren, kan navigeren door menus (focus! Services! Spotlight! Universal Access! ..), naar het internet kan en etc. etc. haal functionaliteit vrij maximaal weg daar.
Ja, klopt, je zal inderdaad wat moeten inboeten op comfort als het gaat om shortcut luxe, dat is waar.

Verder,
en dan, ja alweer, die rotte Terminal functionaliteit onder een standaard account.
Apple zou dat moeten afschermen.
Dat doet Apple nog steeds niet, maar jij kan dat eenvoudig wel.
Verzin eens een eenvoudige creatieve oplossing om je terminal te sandboxen (met desgewenst een password) en de opkomende malware methoden de laatste tijd die gebruikmaken van terminal zullen niet meer werken.

Overweeg tot slot een uitgaande firewall waarbij je terminal en andere apps niet zijn gewhitelisted en voor het whitelisten opgave van een admin password vereist is dat de aanvaller niet heeft (als het goed is).

Succes ermee!

;)


Geen onbekende usb sticks in je Mac steken kan natuurlijk ook
05-08-2016, 16:52 door Anoniem
Door yobi: Waarom geen Rubber Ducky??? Methode bestaat al jaren.

Omdat de rubber ducky een commercieel aftreksel is van de USBdriveby aanval van Samy Kamkar ;).
Een teensy kan bovendien muisklikken emuleren, iets wat een ducky (met zijn propriëtaire scripttaal) niet kan.

Maar je hebt gelijk, slow news day. Aanval bestaat sinds eind 2014.

Onderzoek van google is nieuw, maar de titel is te vergelijken met
"Onderzoeker kraakt WiFi netwerk op DefCon als deel van onderzoek naar WEP/WPS "
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.